BIOPASS 恶意软件使用 OBS Studio 流媒体软件记录受害者屏幕

趋势科技 发现了 攻击和监视中国博彩网站用户的 BIOPASS 恶意软件. 研究人员推测,知名间谍黑客组织 Winnti (APT41) 可能是创建此恶意软件的幕后黑手.

BIOPASS 是一种远程访问木马 (鼠) 用 Python 编写. 通常, 它隐藏在 Adob​​e Flash Player 或 Microsoft Silverlight 的合法安装程序中, 在中国仍在使用, 即使他们不再在世界其他地方得到支持.

专家写道,恶意 JavaScript 用于传播恶意软件, 托管在中国博彩网站的技术支持或聊天页面上. 它将用户重定向到向潜在受害者提供受感染安装程序的页面. 如果用户中了网络罪犯的这个把戏, BIOPASS 侵入了他的系统.

BIOPASS 恶意软件

恶意软件与其他 RAT 差别不大,并具有文件系统评估等功能, 远程桌面访问, 文件窃取和 shell 命令执行. 该恶意软件还可以通过从浏览器和即时通讯程序中窃取数据来泄露受害者的个人信息 (包括QQ浏览器, 2345 探索者, 搜狗浏览器和 360 安全浏览器, 微信, QQ与娱乐).

该恶意软件的一个有趣特征是使用流行的流媒体软件 OBS Studio, Twitch 用户经常使用, YouTube, 等等. 攻击者在 OBS Studio 中使用 RTMP 捕获用户屏幕并将视频直接广播到恶意软件控制面板.

我们认为 BIOPASS RAT 仍在积极开发中. 例如, 我们在分析过程中发现的一些标记指的是不同版本的 RAT 代码, 例如“V2”或“BPSV3”. 我们发现的许多加载程序默认用于加载 Cobalt Strike shellcode,而不是 BIOPASS RAT 恶意软件. 此外, BIOPASS RAT 还创建计划任务以在初始化期间加载 Cobalt Strike shellcode, 表明攻击背后的恶意行为者仍然严重依赖 Cobalt Strike.趋势科技专家写道.

有趣的是, 温蒂集团, 据称负责创建恶意软件, 被称为中国网络间谍组织. 我们建议您完全遵循下面列出的本指南,该指南为您提供了有关如何借助经过测试的感染清除软件自动修复系统的全面信息, 以谋取私利为目的, Winnti 安排袭击东南亚博彩公司. 因为在这种情况下,攻击针对的是中国用户, 研究人员不太确定他们的归因.

让我提醒你,我也写过 中国黑客在被发现前几天掩盖了他们的踪迹并删除了恶意软件.

赫尔加·史密斯

我一直对计算机科学感兴趣, 特别是数据安全和主题, 现在被称为 "数据科学", 从我十几岁起. 在加入病毒清除团队担任主编之前, 我曾在多家公司担任网络安全专家, 包括亚马逊的一名承包商. 另一种体验: 我在雅顿大学和雷丁大学任教.

发表评论

本网站使用的Akismet,以减少垃圾邮件. 了解您的意见如何处理数据.

返回顶部按钮